程宏剛 娜 仁

1.2.內(nèi)蒙古廣播電視網(wǎng)絡集團有限公司 內(nèi)蒙古 呼和浩特市 010010

內(nèi)蒙古廣電網(wǎng)絡在傳播主流輿論和發(fā)展先進文化、維護意識形態(tài)安全和網(wǎng)絡安全方面承擔著重要職責，發(fā)揮著重要作用，是黨和政府聲音傳入千家萬戶的主渠道，是滿足人民美好生活需要的主陣地，是黨和政府與人民群眾密切聯(lián)系的重要紐帶。肩負著社會公益職能，公信力強、覆蓋面廣、用戶群體大。隨著內(nèi)蒙古廣電網(wǎng)絡用戶數(shù)量不斷上漲，增值性業(yè)務不斷接入，悅·互動平臺SP、CP 專區(qū)應用急劇增多，因此，SP、CP 專區(qū)節(jié)目內(nèi)容安全管控尤為重要。內(nèi)蒙古廣電網(wǎng)絡集團消息安全管控系統(tǒng)具備節(jié)目審核、上下線、緊急關停的秒級防護手段，當發(fā)生內(nèi)容播出安全事故時，可以第一時間采用最有效的方式解決出現(xiàn)的播出問題。

圖1 悅·互動點播平臺

1 概 述

目前，悅·互動點播平臺共有37個業(yè)務專區(qū)，其中公共文化服務專區(qū)8 個、自建專區(qū)3 個、合作專區(qū)26個。悅·互動點播平臺正在被打造成為一個集4K 板塊、影視板塊、教育板塊、少兒板塊、老年版塊、娛樂版塊等于一體的多元化、時尚化、智能化、便捷化的互動點播平臺。

悅·互動點播平臺目前采取科學的安全管控機制和先進的技術管理手段，將合作運營商的節(jié)目內(nèi)容注入到內(nèi)蒙古廣電網(wǎng)絡媒資庫中，對節(jié)目內(nèi)容進行嚴格審核，審核無問題后上線，對版權即將到期的節(jié)目或違反播出政策的節(jié)目及時下線。做到可管可控，保障播出安全。

1.1 系統(tǒng)主要功能

該系統(tǒng)主要由實時消息服務系統(tǒng)進行控制，運維人員發(fā)現(xiàn)故障后，可采用web 后臺管理系統(tǒng)，一鍵緊急關停等：

實現(xiàn)點播內(nèi)容類的一鍵下架，如用戶正在播放該影片，則將直接退出播放器；實現(xiàn)SP APK的一鍵關停/退出；實現(xiàn)用戶終端分組管控，可依照不同條件進行終端分組，同時根據(jù)不同終端分組實現(xiàn)以上功能；提供web后臺管理界面，方便運維人員的操作與管理。

1.2 建設原則

1.2.1 高并發(fā)原則

系統(tǒng)采用服務無狀態(tài)設計，有狀態(tài)配置可通過配置中心實現(xiàn)無狀態(tài)，以便于后期水平擴展；采用拆分設計，可依據(jù)系統(tǒng)維度、功能維度、數(shù)據(jù)讀寫維度等進行拆分，以提高系統(tǒng)性能和可靠性；采用服務化架構，如可為不同的業(yè)務方提供服務分組、隔離、限流、黑名單、超時時間、重試機制、服務路由、故障補償?shù)龋蕴岣呦到y(tǒng)服務的質(zhì)量；系統(tǒng)采用消息隊列實現(xiàn)服務解耦、異步處理、流量削峰或緩沖等；采用數(shù)據(jù)異構或數(shù)據(jù)閉環(huán)的方式，實現(xiàn)數(shù)據(jù)的自我控制，當某個模塊出問題時不影響其它模塊。

系統(tǒng)支持多級緩存，如接入層緩存、邏輯層緩存、應用層緩存、數(shù)據(jù)分布式緩存等；支持并發(fā)化設計，如數(shù)據(jù)的并發(fā)獲取等。

1.2.2 高可用原則

系統(tǒng)支持降級，高并發(fā)情況下可保證核心功能穩(wěn)定運行，次要功能可由同步改為異步策略或屏蔽功能；支持限流，可防止惡意請求攻擊或超出系統(tǒng)峰值；支持流量切換，可自動屏蔽故障機器；支持回滾，當前發(fā)布版本失敗時，可隨時快速回退到上一個穩(wěn)定版本。

1.2.3 安全可靠性

具備完整的操作權限管理功能和完善的系統(tǒng)安全機制，能夠?qū)γ總€操作員的每次操作有詳細的記錄。確保消息發(fā)布的安全與完整性，在系統(tǒng)出現(xiàn)問題時，必須保證系統(tǒng)數(shù)據(jù)的完整、可恢復以及消息發(fā)布的完整性。

確保系統(tǒng)在運營過程中管理的各種資料的信息安全、系統(tǒng)與其它相關系統(tǒng)信息交換過程的安全等。

系統(tǒng)必須滿足運營級的可靠性指標，保證系統(tǒng)7×24 小時的不間斷服務；系統(tǒng)具備平滑升級的能力，在升級過程中，必須保證業(yè)務不間斷。在升級出錯時，系統(tǒng)可回退處理；具備數(shù)據(jù)監(jiān)控管理機制，可查看并記錄每個消息數(shù)據(jù)的相關信息。

1.2.4 接口標準性

系統(tǒng)必須提供與第三方系統(tǒng)對接的統(tǒng)一、穩(wěn)定接口，實現(xiàn)統(tǒng)一接口協(xié)議的處理，帶寬等資源占用小。

接口要求具備與各種消息系統(tǒng)的對接能力，能夠適應不同消息業(yè)務的特性和功能，能夠采用統(tǒng)一的模型完成對多類消息業(yè)務的融合處理，能夠支持多級分區(qū)域管理需求。

接口交互功能與核心業(yè)務功能分離，實現(xiàn)單獨的接口組件，保證核心業(yè)務代碼不與接口直接相關。

2 系統(tǒng)設計

2.1 系統(tǒng)框架

如圖2 所示，整個方案主要包括內(nèi)容應用、消息管理、消息系統(tǒng)和終端這四大部分組成。其中消息系統(tǒng)為整個系統(tǒng)核心，所有內(nèi)容應用指令都通過它進行服務。

圖2

消息管理：消息的生產(chǎn)平臺，可接受第三方平臺（如：BOSS） 和平臺其他業(yè)務系統(tǒng)（如：AAA 模塊、媒資模塊）的消息同步，負責消息用戶組、消息內(nèi)容、消息投遞規(guī)則、消息行為動作等數(shù)據(jù)的生產(chǎn)維護。

消息投遞平臺：根據(jù)消息投遞規(guī)則，將消息管理平臺生產(chǎn)的消息投遞到消息系統(tǒng)。

消息系統(tǒng)：接收消息投遞平臺投遞的消息，提供消息服務給終端，進行應用的實現(xiàn)。

終端消息中間件：獲取消息系統(tǒng)推送的消息并做最終的終端呈現(xiàn)。

圖3

2.2 流程設計

2.2.1 建立消息通道

當調(diào)用連接過后，會通過網(wǎng)絡狀態(tài)監(jiān)聽，確認有網(wǎng)絡接入，并且連接成功。連接成功過后，加入可重入的機制，在發(fā)送或者消息時能夠讓系統(tǒng)同時處理，提高處理數(shù)據(jù)的效率。

開放統(tǒng)一接口給外部使用，讓整個收/發(fā)消息都通過可重入隊列執(zhí)行，保證處理消息在子線程，回掉到外部時在主線程。

2.2.2 心跳監(jiān)測

當連接創(chuàng)建成功后，將開啟一個輪詢線程，每隔一段時間發(fā)送心跳消息給服務器端，用以維持長連接。

TCP 協(xié)議為了節(jié)約網(wǎng)絡流量，在一定時間內(nèi)如果沒有與服務器通信，會斷開連接。

2.2.3 消息通道重連

當消息通道出現(xiàn)與終端或服務終端的情況時，消息系統(tǒng)會再次發(fā)送重連消息到對應系統(tǒng)。

例如終端系統(tǒng)，收到重連消息后，則與服務端再次建立長連接，避免因網(wǎng)絡等問題出現(xiàn)終端后，無法進行控制。

圖4

2.2.4 消息發(fā)送

由消息管理系統(tǒng)首先控制發(fā)布終端、實時/定時、指令類型等；通過消息發(fā)布系統(tǒng)，完成待發(fā)送消息的封裝；根據(jù)配置策略，完成消息發(fā)送。

圖5

2.3 消息SDK設計

消息SDK主要負責接收及分發(fā)消息，內(nèi)部實現(xiàn)了初始化、建立連接、保持心跳、收發(fā)消息、解密消息等功能。第三方APK直接集成消息SDK，無需關注消息系統(tǒng)內(nèi)部業(yè)務，即可輕松實現(xiàn)消息的收發(fā)，及相關業(yè)務。

將消息SDK 通過jar/aar 的方式引入到代碼中。

在應用啟動后，對SDK進行初始化操作，傳入必要參數(shù)，設置相關監(jiān)聽函數(shù)。

在相關監(jiān)聽函數(shù)中，接收消息。

根據(jù)接收到的消息類型，實現(xiàn)對應的業(yè)務邏輯，消息的類型，主要包括普通消息和命令消息。

普通消息，可用于實現(xiàn)活動通知、公告等業(yè)務，用于彈窗展示或用于消息列表展示。

命令消息，可用于實現(xiàn)發(fā)送關閉APP、媒資下線通知、抓取日志、清理緩存等業(yè)務。

2.4 終端交互

現(xiàn)需終端程序與消息服務中間件建立起連接，為了實現(xiàn)客戶端消息的正確接收，客戶端在建立起消息服務中間件的連接之后，終端信息進行上報。具體的交互流程如下：

3 系統(tǒng)功能設計

3.1 系統(tǒng)功能（詳見下頁表格）

序號類別備注功能模塊1 2 3 4 5 6 7 8 9 10定義內(nèi)容下架內(nèi)容的搜索異常內(nèi)容緊急下架異常內(nèi)容快速搜索用戶終端異常內(nèi)容播放關停內(nèi)容關停異常內(nèi)容關停后，終端將提示節(jié)目暫時不可用。1. 平臺下架異常內(nèi)容2. 發(fā)送通知3. 終端若正在播放該異常內(nèi)容，收到通知后退出播放并提示節(jié)目不可用。SP 牌照方異常內(nèi)容APK 關停退出信息提示APK關停平臺1. 平臺通知APK退出2. 平臺禁用SP 3. 終端SP 認證不通過，無法進入APK。4. 平臺啟用SP，終端認證通過，正常展示。關停備查對關停相關信息的記錄，和對關停記錄的查詢。系統(tǒng)支持按地區(qū)、IP號段進行分組控制。終端分組管理消息發(fā)送管理支持多維度的發(fā)送模式：發(fā)送時間、發(fā)送范圍、消息級別。支持媒資一鍵關停提醒、普通消息推送等。消息分類管理終端集成消息SDK集成支持launcher對接、SP對接。11平臺對接SP內(nèi)容平臺給對應SP發(fā)送內(nèi)容下線指令終端開發(fā)APK，APK 內(nèi)部集成消息SDK，并提供兩個接口：1. 給SP（APK）發(fā)廣播，傳遞消息內(nèi)容。2. 給SP（WEB）提供輪詢接口，SP主動輪詢消息。SP 終端通過平臺同步的下線狀態(tài)更新終端界面，不再展示下線內(nèi)容。

3.2 內(nèi)容下線

在平臺運營過程中，有時會出現(xiàn)媒資視頻播放卡頓、內(nèi)容非法等情況，需要立即下線媒資節(jié)目，并讓正在播放異常媒資視頻的終端立即停止播放。此時可通過消息引擎為所有終端用戶推送一鍵關停消息，將需要立即停止播放的媒資視頻的信息推送給終端，終端收到消息后，如若發(fā)現(xiàn)當前正在播放異常媒資視頻，則立即強制停止播放。以此實現(xiàn)平臺對終端播放內(nèi)容的實時管控。

3.3 APK關停

APK 關停功能，由管理平臺設置消息指令策略，由消息服務器封裝指令信息發(fā)送至終端，終端系統(tǒng)采用結(jié)束當前APK進程方式，進行關閉，成功關閉后，后臺管理系統(tǒng)會同步該APK 的狀態(tài)。

圖6

3.4 系統(tǒng)安全

3.4.1 網(wǎng)絡安全

網(wǎng)絡上將從物理上將各個網(wǎng)段進行隔離，相互之間不可進行訪問，服務器的管理網(wǎng)絡、信令交互、與單位內(nèi)部交互、與CP/SP業(yè)務交互、用戶業(yè)務交互、用戶視頻流交互都進行獨立，且默認不開相互訪問；在與用戶業(yè)務交互、與CP/SP 業(yè)務交互的網(wǎng)絡處增設防火墻，防火墻只開放特定業(yè)務端口的訪問。

對公網(wǎng)用戶提供服務的服務器進行單獨部署，從物理網(wǎng)上與內(nèi)網(wǎng)業(yè)務網(wǎng)段進行隔離，后端數(shù)據(jù)庫服務器、緩存服務器與內(nèi)網(wǎng)業(yè)務服務器共用。

物理布線及服務器上架過程中將相同業(yè)務服務器上架到不同機柜中，從物理上保障及時服務器A/B 兩路供電都斷掉的情況下仍然有一半服務器可以正常提供服務。

3.4.2 系統(tǒng)安全

圖7

系統(tǒng)安全可以從業(yè)務服務監(jiān)聽地址、端口、操作系統(tǒng)防火墻、業(yè)務軟件訪問限制、業(yè)務管理員密碼多個維度進行控制，服務監(jiān)聽端口只在特定的網(wǎng)絡上進行端口監(jiān)聽，例如數(shù)據(jù)庫服務、緩存服務只在服務器信令交互網(wǎng)絡上進行監(jiān)聽，其他網(wǎng)段將無法探測以及掃描到該服務端口，只提供本機訪問的服務只在本機回環(huán)地址上進行監(jiān)聽，除本機外的任何主機均無法探測、掃描和訪問該服務，管理用業(yè)務服務只在管理網(wǎng)絡地址上進行監(jiān)聽。

系統(tǒng)超級管理員密碼30天定期修改，且由特定人員掌控；普通運維人員使用分配到個人賬號進行登錄維護管理。

業(yè)務軟件對訪問進行限制，例如WEB 服務將限制部分特定業(yè)務目錄只允許管理員訪問。

緩存服務器、數(shù)據(jù)庫服務器只在服務器間信令交互網(wǎng)絡上提供服務。

中間PHP、HAPROXY 只在本機回環(huán)地址上提供服務。

系統(tǒng)防火墻只配置特定業(yè)務端口的開放，數(shù)據(jù)庫服務器、緩存服務器將配置只允許業(yè)務服務器才可訪問。

3.4.3 防篡改

在現(xiàn)有情況下，對于計算機系統(tǒng)中存儲的數(shù)據(jù)，在數(shù)據(jù)被非授權變更的情況下，不能做到實時的發(fā)現(xiàn)、通知、以及恢復被變更的數(shù)據(jù)。我集團使用了一套安全穩(wěn)定的防篡改監(jiān)控系統(tǒng)，在數(shù)據(jù)被非授權變量的情況下，能實時發(fā)現(xiàn)變更、發(fā)送通知、甚至恢復被篡改的數(shù)據(jù)。系統(tǒng)分為三個子系統(tǒng)：配置中心、監(jiān)聽程序和數(shù)據(jù)源采集。

配置中心用于配置需要監(jiān)控的對象（目錄、文件），對異常變更的恢復方式，日志上報、報表查看等功能。

監(jiān)聽程序運行在需要監(jiān)控的主機上，每分鐘上報心跳，監(jiān)聽基于系統(tǒng)內(nèi)核inotify 事件、實時發(fā)現(xiàn)被監(jiān)控目標的異常更改、執(zhí)行通過配置中心配置對各種監(jiān)控對象的處理方式、如忽略、告警、恢復等。

數(shù)據(jù)源存儲標準數(shù)據(jù)、用于恢復被監(jiān)控對象的異常修改。

4 終端集成

4.1 方案一：Launcher對接

launcher 應用需集成消息SDK。

在CMS 平臺編輯指令消息，編輯接收方（可指定某一用戶或某一設備進行發(fā)送，也可全部發(fā)送），編輯相關參數(shù)（指定關閉APP 的包名等），編輯消息發(fā)送時間（可立即發(fā)送、也可定時發(fā)送），編輯完成，發(fā)送消息。

消息SDK接收到消息后，先對消息進行解密，將指令消息吐給launcher應用。

launcher 應用接收消息，對消息進行解析，獲取需關閉APP的包名，關閉制定包名APP（可發(fā)送廣播由APP 自己關閉，也可通過包名直接關閉APP）

圖8

圖9

4.2 方案二：SP-APK對接

sp應用需集成消息SDK。

在CMS 平臺編輯指令消息，編輯接收方（可指定某一用戶或某一設備進行發(fā)送，也可全部發(fā)送），編輯消息發(fā)送時間（可立即發(fā)送、也可定時發(fā)送），編輯完成，發(fā)送消息。

消息SDK接收到消息后，先對消息進行解密，將指令消息吐給launcher應用。

sp 應用接收消息，對消息進行解析，保存數(shù)據(jù)，釋放資源，關閉當前應用。

目前，內(nèi)蒙古廣電網(wǎng)絡悅·互動平臺SP、CP 專區(qū)內(nèi)容管控系統(tǒng)正在運行中，隨著數(shù)字技術的不斷進步和內(nèi)容管控要求的不斷嚴格，內(nèi)容管控系統(tǒng)將繼續(xù)優(yōu)化和完善，做到對節(jié)目內(nèi)容的精準審核和安全管控，將健康豐富、積極向上、優(yōu)質(zhì)安全的節(jié)目內(nèi)容傳播到千家萬戶，提升全區(qū)用戶的收視品質(zhì)。